Главная
Киберучения бизнеса. Как и для чего их проводят
По итогам 2023 года Россия вошла в топ стран по количеству кибератак, а спрос на киберучения среди крупного российского бизнеса вырос в несколько раз.
Что это значит для бизнеса?
Киберучения — способ проверить эффективность систем ИТ-безопасности в компании и уровень киберграмотности сотрудников. Часто они представляют собой серию мероприятий, которые имитируют кибератаки. Однако тренироваться на реальной инфраструктуре бизнеса часто просто невозможно: высока вероятность, что нарушится работа цифровых сервисов. Именно поэтому киберучения проводят на специальных полигонах, где воспроизводится ИТ-ландшафт компании. 75% предприятий организуют такие учения для повышения квалификации ИБ-специалистов: расходы на обучение одного сотрудника в крупном бизнесе могут достигать 1 млн рублей. Сейчас особо востребованы навыки в форензике (цифровой криминалистики, поиске доказательств киберпреступлений), проактивном предотвращении атак и безопасной разработке.
Как проводить киберучения, пентесты и симуляции фишинговых рассылок — в полной версии материала.
Повышение квалификации ИБ-специалистов
75% компаний проводят специализированные киберучения именно для этого. По данным исследования, расходы на обучение одного сотрудника в крупном бизнесе могут достигать 1 млн рублей. Как отмечают аналитики, сейчас особо востребованы навыки в форензике (цифровой криминалистике, поиске доказательств киберпреступлений), проактивном предотвращении атак и безопасной разработке.
В прошлом году спрос на киберучения среди крупного российского бизнеса, по данным «Инфосистемы Джет», вырос в два раза. У других игроков рынка статистика ещё выше. Например, в ГК «Солар» провели в пять раз больше учений, чем в 2022 году.
Это неудивительно: по итогам 2023 года Россия вошла в топ стран по количеству кибератак. Так, например, доля атак вирусов-вымогателей, которые пришлись на отечественные предприятия, выросла с 1 до 4%. Сильнее темпы только в США (сообщает «Лента»). По данным BI.ZONE, чаще всего злоумышленники атаковали компании из сферы ритейла, промышленности, энергетики, финансов, страхования и транспорта.
Самые атакуемые отрасли
Атакам подвергались все отрасли. Наиболее атакуемой стала сфера ритейла.
Источник: исследование BI.ZONE
В этом году рост продолжится: по прогнозам, количество DDoS-атак на российский бизнес увеличится в четыре раза. В начале года уже произошло несколько крупных киберинцендентов. Например, в результате только одной утечки было скомпрометировано больше данных (500 млн), чем за весь прошлый год (по информации Cnews).
Киберграмотность
По последним данным от Минцифры, уровень киберграмотности россиян оценивается в 48,2 балла из ста возможных (сообщают в «Рамблере»). Цифра невысокая, поэтому отечественные компании проводят различные мероприятия по её повышению. Показательна ситуация в госсекторе: там у 82% предприятий есть обучение ИБ-компетенциям. При этом в госсекторе, как показало исследование, формальные подходы к ИБ-обучению (инструкции и информационные рассылки для самостоятельного изучения) распространены меньше, чем в частном бизнесе.
Источник: «СёрчИнформ»
По прогнозам аналитиков из МТС Red, российский рынок решений по корпоративному обучению киберграмотности будет увеличиваться на 40% каждый год в период 2023—2027 годов и достигнет 2,4 млрд рублей. Кстати, вместе с этим рынком растёт и рынок киберстрахования, в прошлом году — сразу на 80% (до 1,3 млрд рублей). Больше всего такие полисы востребованы в ИТ, финтехе, телекоме и промышленности, так как в этих отраслях высокий уровень цифровизации.
Виды киберучений
Киберучения — способ проверить эффективность систем ИТ-безопасности в компании и уровень киберграмотности сотрудников. Здесь можно выделить много разных форматов и классификаций. Остановимся на самых распространённых.
Киберполигоны
Часто киберучения представляют собой серию мероприятий, которые имитируют кибератаки. Однако тренироваться на реальной инфраструктуре бизнеса часто просто невозможно: высока вероятность, что нарушится работа цифровых сервисов. Именно поэтому киберучения проводят на специальных полигонах, где воспроизводится ИТ-ландшафт компании.
Дмитрий Малинкин, руководитель направления BI.ZONE:
Киберучения — отличная площадка не только для профильных технических специалистов, где они могут оттачивать свои навыки по форензике, анализу защищённости, мониторингу угроз. Это полезно и для бизнеса в целом: компании могут проверить уровень своей устойчивости к реальным киберугрозам, а если мероприятие международного масштаба, то и делиться опытом и перенимать лучшие практики у мирового сообщества. Например, 10—11 сентября этого года BI.ZONE проведёт международный онлайн-тренинг по повышению глобальной киберустойчивости Cyber Polygon. Мероприятие пройдёт в рамках конференции по кибербезопасности MENA ISC 2024 в Эр-Рияде в Саудовской Аравии. Прошлый Cyber Polygon собрал 200 команд из 48 стран и 7 млн зрителей из 78 стран. Приглашаем организации регистрироваться, чтобы бесплатно принять участие.
Андрей Дугин, руководитель центра сервисов кибербезопасности МТС Red:
Учения на киберполигонах полезны сотрудникам, которые хотят отработать навыки грамотного реагирования на кибератаки в условиях, максимально приближенных к своему бизнесу. При выборе полигона нужно в первую очередь определить, сможет ли он воссоздать аналогичную инфраструктуру. Как минимум в архитектуре критичных систем. Конечно, на все 100% компанию не клонируешь, но крупными мазками — возможно. Также стоит оценить возможности киберполигона по независимой фиксации и учёту действий атакующих и защитников, предоставления отчётности разной степени детализации для разных категорий сотрудников. Иначе придётся это делать собственными силами, затрачивая дополнительные ресурсы.
Пентесты
Пентесты (англ. pentest, сокр. от penetration test) — испытания системы на проникновение. Специальная команда сначала собирает информацию об объекте тестирования, вырабатывает тактику, а затем ищет уязвимости и способы получения несанкционированного доступа. Банки и НФО (некредитные финансовые организации), например, должны проводить такие испытания как минимум один раз в год. Стоимость зависит от объёмов работ. Есть пентесты за 500 000 рублей, а бывают и за несколько десятков миллионов. Механики могут быть разные, например в формате red team / blue team, когда специалисты делятся на атакующую и обороняющуюся команды.
«Пентест не имеет смысла, если по его результатам ничего не делать для повышения уровня безопасности и предотвращения компрометации через тот же вектор атаки в будущем, — отмечает Андрей Дугин. — Лучше всего проводить его в режиме плотного взаимодействия атакующих и защитников. Но для этого нужен определённый уровень зрелости и бюджета. Самый простой вариант — ежегодно заказывать разовый пентест, по результатам которого устранять недостатки».
Михаил Сидорук, руководитель управления анализа защищённости BI.ZONE:
Частой рекомендацией является проводить хотя бы один пентест в год. На деле всё сильно сложнее. Многое зависит от компании и её степени зрелости — параметры работ и комплекс мер индивидуальны. Нужно искать золотую середину. Мало пентестов — пострадает безопасность. Много — лучше воспользоваться решениями для управления поверхностью атаки и непрерывного мониторинга ИТ‑активов, или continuous penetration testing. Важны не только результаты тестирования в виде отчёта, но и сопутствующий процесс управления уязвимостями и активами.
При организации пентеста необходимо:
Симуляция фишинговых рассылок
Атаки с применением социальной инженерии — одни из самых популярных инструментов среди злоумышленников. В 2023 году доля фишинговых писем в России увеличилась на 70%. Более того, 68% кибератак на российские компании начинаются именно с письма.
«Обмануть сотрудников проще и дешевле, чем обходить системы безопасности. Киберпреступники манипулируют чувствами: вызывают страх, провоцируют жадность, просят о помощи, — объясняет Михаил Прохоренко, руководитель управления по борьбе с киберугрозами BI.ZONE. — Кроме того, активно распространяются автоматизированные инструменты, делающие фишинг доступнее для мошенников, не обладающих техническими навыками».
Бизнес проводит «учебные» фишинговые рассылки, чтобы проверять эффективность ИБ-тренингов в компании и контролировать знания сотрудников. Таким способом устойчивость компании к фишингу повышается в девять раз.
Как защитить бизнес от фишинга
Главные аспекты киберучений
Повышение квалификации ИБ-специалистов
75% компаний проводят специализированные киберучения именно для этого. По данным исследования, расходы на обучение одного сотрудника в крупном бизнесе могут достигать 1 млн рублей. Как отмечают аналитики, сейчас особо востребованы навыки в форензике (цифровой криминалистике, поиске доказательств киберпреступлений), проактивному предотвращению атак и безопасной разработке.
«Одна из самых распространённых ошибок при проведении киберучений — это ограничение их масштаба, — говорит Андрей Дугин. — Например, теоретическое описание инцидентов и мер реагирования без практической отработки навыков. Или их проведение исключительно в составе ИБ-специалистов. Начинать, конечно, нужно с них, но дальше обязательно привлекать ИТ и другие подразделения, которые могут быть потенциально задействованы в случае реальной атаки: клиентский сервис, продакт-менеджмент, возможно, PR и даже топ-менеджмент».
Тестирование и защита инфраструктуры
ИТ-контур бизнеса постоянно расширяется за счёт внешнего ПО, облачных сервисов, различных API-интеграций и open-source-продуктов. Бизнесу необходимо регулярно обновлять и контролировать софт от вендоров. В BI.ZONE рекомендуют отслеживать внешний периметр через специальные сервисы и внедрить полноценный контроль доступа с нулевым уровнем доверия. А проверить защищённость инфраструктуры можно, например, с помощью предназначенных для этого платформ bug bounty — тогда к поиску уязвимостей подключатся белые хакеры с самыми разными методиками.
Кроме того, стоит учитывать, что киберпреступники стали чаще применять программы, которые можно обнаружить только специализированными сенсорами SOC (security operation center).
Повышение киберграмотности всех сотрудников
Обучающие программы можно разделить на несколько видов.
«Лучше всего формировать отдельный план обучающих мероприятий для каждой целевой группы, — полагает Дмитрий Малинкин, руководитель направления BI.ZONE. — Например, финансисты могут начать с обучающего курса, затем проверить знания на тесте и отработать навыки в учебных атаках. Логисты, наоборот, начнут с моделирования инцидентов, а затем пройдут курс. После каждой учебной атаки важно собирать статистику и анализировать действия всех участников, чтобы при необходимости провести дополнительное обучение. В свою очередь, ответственные за кибербезопасность смогут более точно оценивать риски и слабые места в организации».
Что важно учесть при обучении цифровой грамотности
Чек-лист для бизнеса